Информационная безопасность *

Хакерская группа Hello Kitty сообщила, что в открытом доступе на сайте traveladmin.ru лежит около 3500 документов с личными данными клиентов. Документы доступны по ссылке http://traveladmin.ru/admin/files/services/ (уже недоступны), последние из них датируются 19 апреля 2016 года.

Примерно неделю назад произошло обновление мобильного приложения Uber для Android до версии 3.98.2. Пользователи программы сразу обратили внимание, что после обновления Uber запрашивает доступ к истории посещённых страниц в браузере, закладкам и запущенным приложениям (см. скриншот).

Такое любопытство Uber выглядит подозрительно, особенно с учётом недавней статистики, согласно которой компания предоставила властям и регуляторам США по их запросам информацию о 12 млн пассажиров и водителей такси Uber.

«Ума не приложу, какие могут быть рациональные причины, зачем приложению такси рыться в истории моего браузера, а тем более смотреть список приложений, которые я использую», — возмущается один из пользователей, который часто ездит на такси Uber.

Как и некоторые другие компании, каждый год Reddit публикует Transparenct Report, в котором отчитывается о количестве запросов на удаление информации, выдачу конфиденциальных данных о пользователях и т.д. В прошлом году в отчёт добавили специфическую фразу: «По состоянию на 29 января Reddit ни разу не получал повесток NSL по Акту о негласном наблюдении в целях внешней разведки (FISA) или любого другого засекреченного запроса на информацию о пользователе. Если мы получим такой запрос, то постараемся найти способ довести до публики факт его существования».

Это классический пример свидетельства канарейки — способ передачи информации, осуществляемый через молчание или отрицание.

Скрытая сеть, даркнет — для обычного человека это звучит страшно. В медиа постоянно рассказывают о даркнете в связи с преступной деятельностью, продажей наркотиков и оружия, работе наёмных убийц и организации терактов.

Ничего удивительного, что в общественном сознании прочно укрепилась идея о том, что сеть даркнет — это нечто преступное. Мол, нормальному человеку нечего скрывать. Опрос более 24 000 пользователей интернета в 24 странах мира организацией Centre for International Governance Innovation (CIGI), дал грустный результат: 71% респондентов поддержали идею полного закрытия скрытой сети (pdf). Очевидно, что большинство этих людей имеют слабое представление, что такое Tor, если думают, что сеть можно просто «закрыть».

Очередным гениальным предложением разродилось Министерство связи и массовых коммуникаций РФ. Оно продолжает борьбу с анонимным доступом в интернет и подготовило законопроект, по которому администрация общественных мест (кафе, библиотеки, школы, парки и т.д.), обязана идентифицировать пользователей бесплатного WiFi, иначе им грозит штраф до 200 000 руб. Об этом сообщили в пресс-службе Минкомсвязи.

Каждое заведение обязано будет заключить с оператором связи договор об идентификации пользователей и используемого ими оборудования — смартфонов, ноутбуков и др.

В мае 2014 года владелец защищённого сервиса электронной почты Lavabit Ладар Левисон сообщил подробности судебного процесса, в результате которого почтовый сервис пришлось закрыть. ФБР и министерство юстиции до сих пор не признавались, что доступ к серверам Lavabit им требовался с единственной целью — прочитать почту Эдварда Сноудена. Но сейчас из-за невнимательности чиновников правда просочилась наружу.

По словам главы Минкомсвязи Николая Никифорова правительство РФ не планирует вводить государственный контроль интернет-трафика. Министр сообщил, что появившаяся в СМИ информация о разработке Минкомсвязи соответствующего законопроекта недостоверна, пишет ТАСС. «Никакого контроля не предполагается. Никакого контроля трафика, контента, того, как ходит информация — ничего такого не планируется», — подчеркнул он.

Кроме того, Николай Никифоров подверг критике инициативу Госдумы приравнять новостные агрегаторы к СМИ. «Пытаться повесить на новостные агрегаторы ответственность за ту информацию, которая содержится на самих новостных сайтах, нам кажется довольно странной формой перекладывания ответственности», — сказал глава Минкомсвязи.

Государство будет следить за безопасностью передачи данных в отечественном сегменте Сети


Фото: Дмитрий Коротаев / Коммерсантъ

Администрация президента сейчас ведет работу по созданию государственного удостоверяющего центра (УЦ), который будет выдавать сайтам в русскоязычном сегменте Сети государственные SSL-сертификаты, пишет «Коммерсант». «Огромное количество сайтов в рунете использует защищенное соединение: интернет-магазины, платежные системы, государственные сервисы, где пользователь вводит свои персональные данные. На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете»,— сообщил источник, близкий к администрации президента (АП).

О начале реализации такого проекта сообщил и глава Фонда информационной демократии Илья Массух. Он сказал, в частности, что создание УЦ бужет обсуждаться специальной рабочей группой «по использованию информационно-телекоммуникационной сети интернет в отечественной экономике». Эта группа создана в начале февраля этого года решением главы администрации президента Сергея Иванова. В рамках группы создана подгруппа «Интернет плюс суверенитет», в которой «будут вырабатываться предложения по созданию УЦ с учетом мнения экспертов и компаний-разработчиков отечественных браузеров — „Яндекс.Браузер“ и „Спутник“».

Как уже сообщалось сегодня на Geektimes, Минкомсвязи разработало законопроект по государственному контролю интернет-трафика на территории России. Законопроект предусматривает необходимость внесения поправок в такие законы, как «О связи» и «Об информации, информационных технологиях и защите информации». Что касается способов мониторинга трафика на российских каналах, то их несколько. Это создание реестра IP-адресов рунета, а также «мониторинг использования ресурсов глобальной адресации и глобальных идентификаторов сети интернет (DNS и IP-адресов)».

Законопроект вызвал бурное обсуждение в среде как обычных пользователей, так и представителей телекоммуникационных компаний. Для того, чтобы внести ясность в ситуацию, пресс-секретарь президента Владимира Путина Дмитрий Песков объяснил, как нужно понимать этот законопроект, пишут «Ведомости». В частности, Песков указывает на то, что документ не стоит считать намерением правительства установить полный контроль над интернетом.

Обеспечение безопасности и устойчивости российского сегмента в случае отключения от внешнего мира — такую задачу поставил президент Путин перед Советом безопасности на совещании осенью 2014 года. На совещании обсуждали итоги учений по устойчивости работы рунета в условиях изоляции.

Для реализации поручений президента Минкомсвязи сейчас разработало законопроект о государственном контроле над прохождением интернет-трафика на территории России, пишут «Ведомости», которые получили копию документа. Информацию подтвердили в Минкомсвязи, а также в руководстве крупных операторов связи и интернет-компаний.

Пока в США смотрели Суперкубок, анонимный хакер пообещал опубликовать имена, адреса электронной почты и телефонные номера 20000 агентов ФБР и 9000 сотрудников американского МВБ. И выполнил обещание через сутки.

Компания Yahoo на прошлой неделе сообщила, что будет предупреждать пользователей о подозрениях в слежке со стороны правительственных служб. Twitter, Facebook и Google сделали это раньше. Властям Великобритании эта инициатива не нравится: они рассматривают законопроект, по которому глава компании, предупреждающей о слежке со стороны британских агентств, может сесть в тюрьму на два года.


Пример уведомления от Facebook на аккаунт

Специалист по безопасности Карстен Нол (Karsten Nohl), основатель Security Research Labs, выступил с заявлением об уязвимости протокола передачи данных, по которому платёжные pos-терминалы передают данные банковских карт. Сотрудники Security Research Labs на глазах у удивлённого корреспондента RT взломали пин-код его карточки и сделали её клон. При этом корреспондент использовал чипованную карту.

По словам Нола проблема заключается не в неправильной работе устройств, а в уязвимостях самого протокола. В связи с этим необходимо менять всю систему – что дорого и невыгодно, по крайней мере, пока взлом не приобрёл массовый характер.

И речь сейчас не об электронных сервисах — почтовиках, а об операторах почтовой связи. СОРМ придется установить «Почте России», СПСР-Экспресс, FedEx Россия и другим отечественным или зарубежным компаниям, которые работают в РФ. После установки СОРМ начнет собирать данные об отправителях и получателях писем и посылок, фотографировать внешний вид упаковки и выполнять другие операции, пишут «Известия». Если посылка или письмо вызовет подозрение, его могут поместить в ячейку для дальнейшего изучения.

Соответствующее указание содержится в приказе Минкомсвязи «От утверждении требований к оборудованию автоматизированной сортировки почты, обеспечивающему выполнение установленный действий при проведении оперативно-розыскных мероприятий». Установка соответствующей системы должна быть выполнена компаниями в течение года с момента вступления приказа в силу.

Премьер-министр Дмитрий Медведев предлагает принять кодекс поведения в интернете в форме мягкого права. Такое предложение он озвучил незадолго до своего визита в Китай на Всемирную конференцию по управлению интернетом, передаёт агентство ТАСС.

«Очевидно, что, пока ещё не поздно, необходимо не допустить криминализации интернета, гарантировать соблюдение прав человека в цифровой сфере, — сказал премьер-министр. — Сделать это в условиях отсутствия полноценной международно-правовой базы сотрудничества в сфере информационной безопасности крайне сложно, поэтому первым шагом в создании международной системы безопасности в этой области могло бы стать принятие кодекса или правил поведения в форме мягкого права».

После шести месяцев споров Эквадор подписал договор о допросе Джулиана Ассанжа уполномоченным лицами из Швеции. Допрос пройдёт в посольстве Эквадора в Лондоне, где основатель WikiLeaks укрылся в 2012 году от обвинений в изнасиловании.

Ассанж не выходит из посольства, опасаясь атаки беспилотников, и боится экстрадиции в США.

Страх людей перед терактами власти многих стран используют для внедрения технологий массовой слежки за населением. США, Россия, Великобритания и другие требуют ослабить криптографию онлайновых коммуникаций, ставить бэкдоры в криптозащиту мобильных устройств и т.д. — всё делается зачастую под предлогом борьбы с терроризмом. Для справки: в Европе за последние 15 лет произошло четыре теракта и погибло менее 500 человек, тогда как в ДТП погибает 70 человек в день.

Так вот, на фоне всеобщей «борьбы с террором и преступностью» с помощью массовой прослушки населения одна страна почему-то идёт в противоположном направлении. В ноябре министр внутренних дел Германии Томас де Мезьер (Thomas De Maizière) выдал предписание об усилении защиты конфиденциальных коммуникаций. Документ направлен вовсе не на снятие или ослабление криптозащиты. Наоборот, МВД требует повсеместного внедрения у гражданского населения сильного end-to-end шифрования!

Вчера представители Роскомнадзора провели встречу с правообладателями и онлайн-площадками. Чиновники сообщили о двух новых мерах регулирования интернета.

Во-первых, глава Роскомнадзора Александр Жаров предложил создать рабочую группу по блокировке приложений в магазинах AppStore и Google Play с пиратским и прочим запрещённым контентом.

Другая рабочая группа разработает методы регулирования выдачи поисковиков. Правообладатели хотят, чтобы поисковые системы убрали или понижали в выдаче сайты с пиратским контентом, которые сейчас стоят на первых строчках в выдаче. Продюсер Александр Акопов заявил, что «Яндексу» всё же пора начинать диалог с правообладателями, «а если они не хотят — придётся делать законодательные инициативы».

Компания Open Wisper Systems, выпускающая мобильный мессенджер с оконечным шифрованием Signal, объявила о выпуске десктопной версии своей программы в виде расширения для браузера Chrome. Технически всё сделано так, что Signal Desktop привязывается к установленному мобильному приложению Signal (примерно также делает веб-версия WhatsApp) и отправлять и получать сообщения можно будет на обоих устройствах.

Для привязки к смартфону пока что поддерживается только Android-версия Signal, а о выпуске iOS-версии с поддержкой десктопного приложения будет сообщено дополнительно. Сейчас, помимо мгновенных сообщений, можно отправлять и получать изображения, а также видеофайлы.

Мосгорсуд 9 ноября принял решение о вечной блокировке на территории России сайта RuTracker.org. В качестве ответных мер сайт проведёт «учения по гражданской обороне» по противодействию блокировке.